WO1996020103A1 - Process and circuit for monitoring the functioning of a program-controlled circuit - Google Patents

Process and circuit for monitoring the functioning of a program-controlled circuit Download PDF

Info

Publication number
WO1996020103A1
WO1996020103A1 PCT/EP1995/004901 EP9504901W WO9620103A1 WO 1996020103 A1 WO1996020103 A1 WO 1996020103A1 EP 9504901 W EP9504901 W EP 9504901W WO 9620103 A1 WO9620103 A1 WO 9620103A1
Authority
WO
WIPO (PCT)
Prior art keywords
circuit
monitored
monitoring
monitoring circuit
data
Prior art date
Application number
PCT/EP1995/004901
Other languages
German (de)
French (fr)
Inventor
Michael Zydek
Wolfgang Fey
Original Assignee
Itt Automotive Europe Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Itt Automotive Europe Gmbh filed Critical Itt Automotive Europe Gmbh
Priority to EP95942125A priority Critical patent/EP0799143B1/en
Priority to DE59503815T priority patent/DE59503815D1/en
Priority to JP8520154A priority patent/JPH10513286A/en
Priority to US08/860,411 priority patent/US6012156A/en
Publication of WO1996020103A1 publication Critical patent/WO1996020103A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24042Signature analysis, compare recorded with current data, if error then alarm

Definitions

  • the invention relates to a method for monitoring the proper functioning of a program-controlled electronic circuit, e.g. a microprocessor, microcomputer, microcontroller or the like, in which data processing results are checked for partial or complete agreement in the work cycle with data generated independently of the circuit to be monitored and independently of the program run in a monitoring circuit, and in the event of deviations , which indicate a malfunction, an error signal or shutdown signal is generated.
  • a program-controlled electronic circuit e.g. a microprocessor, microcomputer, microcontroller or the like
  • data processing results are checked for partial or complete agreement in the work cycle with data generated independently of the circuit to be monitored and independently of the program run in a monitoring circuit, and in the event of deviations , which indicate a malfunction, an error signal or shutdown signal is generated.
  • Circuit arrangements for performing the method are also part of the invention.
  • microcomputers and other program-controlled electronic circuits must be monitored, in particular, when the circuits are used for safety-critical control systems.
  • the regulating Eir is an example of a safety-critical application. Reef in the brake system of a motor vehicle, as is required, for example, for anti-lock control, traction control, driving stability control, etc.
  • electronic control is used in known brake systems switched off so that at least the brake function is retained - even if there is no anti-lock control. It is also known to only partially shut down the control, to switch off with a delay, or to switch to a safer state in some other way in the event of certain errors.
  • Another known circuit arrangement which is described in DE 41 37 124 AI (P 7255), provides for processing the sensor or input signals in two parallel microcontrollers, of which only one, however, carries out the complete, complex signal processing.
  • the second circuit is used primarily for monitoring, which is why the input signals after processing and formation of derivatives processed with the help of simplified control algorithms and simplified control philosophy.
  • the simplified processing in the monitoring microcontroller reduces the effort.
  • ABS with two microcontrollers is already known from DE 40 04 782 AI (P 6892), both of which generate a monitoring signal which represents an alternating signal with a predetermined frequency and a predetermined course.
  • a safety circuit compares the alternating signals with a time normal, which is derived from a clock generator, which is independent of the microcontroller's operating cycle. A change in the alternating signal leads, as does a failure the time standards for switching off the anti-lock control; If the pulses fall outside the specified time window, the control is switched off.
  • This known circuit arrangement is also based on the use of two redundant microcontrollers.
  • the invention is based on the object of developing a method of the type mentioned at the outset which, even when limited to a single program-controlled circuit in conjunction with a monitoring circuit, can detect a malfunction with a high degree of reliability and reliability, so that an error signal can be generated , which switches the system into a non-critical state for security or, for example switches off the control of a brake system.
  • the particular feature of the method according to the invention is that data words are generated in the program run of the circuit to be monitored and transmitted to the monitoring circuit at predetermined times and that the content of the data words and the time of the occurrence of the data words occur with the aid of the monitoring circuit with specifications, ie predefined data words and predefined time frame are compared.
  • the data words generated in the program run of the circuit to be monitored result in a predetermined word sequence, that is to say a specific sequence of predetermined words, which is compared with the aid of the monitoring circuit for agreement with a corresponding specification or a corresponding word sequence .
  • a predetermined word sequence that is to say a specific sequence of predetermined words, which is compared with the aid of the monitoring circuit for agreement with a corresponding specification or a corresponding word sequence .
  • a defined data word is generated in the program run or program sequence, the content and time of which must correspond to a specification.
  • the monitoring circuit not only checks the content of the data word generated during the program run, but also the time at which this data word occurs. The time behavior of the monitoring signal is thus checked and a further evaluation of the function of the microcontroller or of the circuit to be monitored is made possible by evaluating the data word or data word sequence.
  • the predetermined word sequences are expediently formed in the circuit to be monitored and in the monitoring circuit using different algorithms.
  • a further advantageous embodiment of the invention is that the monitoring circuit takes the data words with which the data words formed in the circuit to be monitored are compared from a memory.
  • a circuit arrangement for carrying out the method according to the invention comprises a program-controlled circuit and a monitoring circuit.
  • a data word sequence generated by the circuit to be monitored in the program run or sequence according to a predetermined algorithm is transmitted in this circuit in the work cycle to the monitoring circuit, which contains a comparator which matches the transmitted data word sequence in terms of content and occurrence over time compares a predefined, for example stored, data word sequence and produces an error detection and switching signal if the transmitted data word sequence deviates from the predefined sequence.
  • Such a circuit arrangement is suitable, for example, for a brake system with electronic control, in which the circuit to be monitored is designed in the form of a one-chip microcontroller, which is used to evaluate the input signals measured with the aid of wheel sensors and to generate brake pressure control signals.
  • FIG. 2 shows a schematically simplified illustration of an exemplary embodiment of a circuit arrangement according to the invention.
  • Step 1 shows a number of operations 2 to 5 in the form of a flow chart or program flowchart, which are used here to calculate a specific data word sequence which is required for the monitoring method according to the invention.
  • Operations 2 to 5 are to be understood as steps of a subroutine, which are triggered by the program-controlled circuit to be monitored each time via a start signal "Reset" 1.
  • a word W x is formed in step 3 and after a defined time in step 4 : directs.
  • step 5 by a transmission of the word j to a monitoring circuit at the predetermined time.
  • the word transmission is symbolized by an arrow 6.
  • the subroutine with steps 2 to 5 is now repeated since it is a closed loop.
  • the monitoring circuit is started via a "Reset" 7.
  • the start signals "Reset" 1 and “Reset” 2 are triggered by the same event, for example by switching on the ignition of a motor vehicle engine. With a suitable algorithm, no further synchronization of the circuit to be monitored, which carries out operations 1 to 5, with the monitoring circuit 7 to 14 is then required.
  • the program-controlled circuit to be monitored here the microcontroller of an ABS
  • the processor outputs S out (serial out), S in (serial in), SCK (clock) and CS (chip select) lead to a serial interface 16.
  • S out serial out
  • S in serial in
  • SCK clock
  • CS chip select
  • the individual data words are transferred to a serial shift register 18 via an input switch or "buffer” 17 and are forwarded from this in parallel to a comparator 20 via a multiple line 19.
  • the data word Wj supplied via the line 19 and output by the circuit 15 to be monitored is compared with a data word W 2 , which is taken from a tabular memory 21, for agreement.
  • the memory 21 is connected to the comparator 20 via a multiplexer 22 and a multiple signal line 23.
  • the monitoring circuit includes a counter or divider 24, two AND gates 25, 26, an inverter 27, two flip-flops 28, 29 and finally an OR gate with a negated output (NOR gate), which is not shown Safety relay leads. With a signal "1" at the output of NOR gate 30, a safety relay is switched on ("ON") because the circuit to be monitored and the test circuit are OK. A signal - "0" at the output of NOR gate 30 leads to the control being switched off.
  • the operating cycle of the circuit to be monitored and the monitoring circuit is 10 ms in the following example.
  • the signal "0" must remain at the output of the comparator 20, since the AND gate 26 is released in this period and a signal 1 at the output of the comparator 20 is the flip-flop 28 set and would turn off the safety relay via the OR gate 30.
  • the counter 24 is driven via the OR gate 25 and the “reset” input and is thereby reset to “0”.
  • the multiplexer 22 takes over a new data word from the memory 21.
  • the output of the comparator 20 becomes "0" again.
  • the flip-flop 28 is released again via the AND gate 26. The cycle starts again.
  • the monitoring circuit according to FIG. 2 represents a particularly simple exemplary embodiment. Of course there are also other connection options.
  • the data word sequence consisting of certain data words can be formed in very different ways in the program-controlled circuit 15 that is to be monitored. It is expedient, for example, to evaluate the result of the test routines which run at regular intervals in a program-controlled circuit of the type in question here to form the data word sequences. Another possibility is to call up certain words from a memory belonging to the monitoring circuit and to compare these words with the words in the memory 21 of the test circuit.
  • monitoring of a microprocessor, microcontroller or other program-controlled circuit is therefore achieved in a very simple manner.
  • the output of a certain data word sequence requires no additional effort.
  • the monitoring circuit described can, as the illustrated example shows, be realized with a few circuits.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Regulating Braking Force (AREA)
  • Hardware Redundancy (AREA)

Abstract

In order to monitor the correct functioning of a microprocessor, microcontroller or other program-controlled circuit (1 - 5; 15), data processing results (W1) with data (W2) produced in a monitoring circuit (7 - 14; 17 - 30) independently of the monitored circuit and of the program flow are checked at preset intervals for deviations. If deviations indicative of a fault are found, a cut-out signal (Aus) is generated. To that end, data words or a data word sequence (W1) are produced during the program flow of the monitored circuit (1 - 5; 15) and forwarded to the monitoring circuit (7 - 14; 17 - 30) at predetermined times (T1). The monitoring circuit is used to monitor the content of the data words (W1) and the appearance at the predetermined times (T1) of the data words (W2).

Description

Verfahren und Schaltungsanordnung zur Überwachung der Funk¬ tion einer programmgesteuerten SchaltungMethod and circuit arrangement for monitoring the function of a program-controlled circuit
Gegenstand der Erfindung ist ein Verfahren zur Überwachung der ordnungsgemäßen Funktion einer programmgesteuerten elek¬ tronischen Schaltung, z.B. eines Microprozessors, Microcompu¬ ters, Microcontrollers oder dergl., bei dem im Arbeitstakt Datenverarbeitungsergebnisse mit unabhängig von der zu über¬ wachenden Schaltung und unabhängig von dem Programmlauf in einer Überwachungsschaltung erzeugten Daten auf teilweise oder vollständige Übereinstimmung überprüft werden und bei dem beim Auftreten von Abweichungen, die auf eine Fehlfunk¬ tion hinweisen, ein Fehlersignal oder Abschaltsignal erzeugt wird. Schaltungsanordnungen zur Durchführung des Verfahrens gehören ebenfalls zur Erfindung.The invention relates to a method for monitoring the proper functioning of a program-controlled electronic circuit, e.g. a microprocessor, microcomputer, microcontroller or the like, in which data processing results are checked for partial or complete agreement in the work cycle with data generated independently of the circuit to be monitored and independently of the program run in a monitoring circuit, and in the event of deviations , which indicate a malfunction, an error signal or shutdown signal is generated. Circuit arrangements for performing the method are also part of the invention.
Die ordnungsgemäße Arbeitsweise von Microcomputern und ande¬ ren programmgesteuerten elektronischen Schaltungen muß be¬ kanntlich insbesondere dann überwacht werden, wenn die Schal¬ tungen für sicherheitskritische Regelungssysteme eingesetzt werden. Ein Beispiel für eine sicherheitskritische Anwendung ist der regelnde Eir. riff in die Bremsanlage eines Kraftfahr¬ zeuges, wie er beispielsweise zur Blockierschutzregelung, Antriebsschlupfregelung, Fahrstabilitätsregelung usw. erfor¬ derlich ist. Beim Erkennen einer Fehlfunktion der Elektronik wird bei bekannten Bremsanlagen die elektronische Regelung abgeschaltet, damit zumindest die Bremsenfunktion - wenn auch ohne Blockierschutzregelung - erhalten bleibt. Es ist auch bekannt, bei bestimmten Fehlern die Regelung nur teilweise stillzulegen, verzögert abzuschalten oder auf andere Weise in einen ungefährlicheren Zustand umzuschalten.As is known, the correct functioning of microcomputers and other program-controlled electronic circuits must be monitored, in particular, when the circuits are used for safety-critical control systems. The regulating Eir is an example of a safety-critical application. Reef in the brake system of a motor vehicle, as is required, for example, for anti-lock control, traction control, driving stability control, etc. When a malfunction of the electronics is detected, electronic control is used in known brake systems switched off so that at least the brake function is retained - even if there is no anti-lock control. It is also known to only partially shut down the control, to switch off with a delay, or to switch to a safer state in some other way in the event of certain errors.
Für solche Überwachungsmaßnahmen ist es wesentlich, daß die Fehlfunktion schnell und mit hoher Zuverlässigkeit erkannt wird. Um dies zu erreichen, werden bei der Regelschaltung, die aus der DE 32 34 637 C2 (P 5248) bekannt ist, die mit Radsensoren gewonnenen Eingangsdaten in zwei parallelen, von¬ einander unabhängigen, identisch aufgebauten und identisch programmierten Microcontrollern verarbeitet. Die Ausgangssi¬ gnale der beiden Microcontroller werden dann auf Übereinstim¬ mung überprüft. Treten Abweichungen auf, was auf eine Fehl¬ funktion hinweist, wird die elektronische Regelung abgeschal¬ tet und dadurch die Bremsenfunktion sichergestellt. Diese bekannte Regelschaltung beruht also auf einer redundanten SignalVerarbeitung in zwei kompletten programmgesteuerten Schaltungen, wobei die Redundanz allein dem Zweck dient, auf¬ tretende Fehler mit hoher Zuverlässigkeit zu erkennen, um in diesem Falle die Regelung ausschalten zu können. Die Aus¬ schaltmechanismen selbst sind ebenfalls weitgehend redundant aufgebaut. Aus Sicherheitsgründen wird also ein erheblicher Aufwand in Kauf genommen.For such monitoring measures, it is essential that the malfunction be recognized quickly and with high reliability. To achieve this, in the control circuit known from DE 32 34 637 C2 (P 5248), the input data obtained with wheel sensors are processed in two parallel, mutually independent, identically constructed and identically programmed microcontrollers. The output signals of the two microcontrollers are then checked for agreement. If deviations occur, which indicates a malfunction, the electronic control is switched off and the brake function is thereby ensured. This known control circuit is therefore based on redundant signal processing in two complete program-controlled circuits, the redundancy being used solely for the purpose of detecting occurring errors with a high degree of reliability in order to be able to switch off the control in this case. The switch-off mechanisms themselves are also largely redundant. For security reasons, a considerable effort is accepted.
Eine andere bekannte Schaltungsanordnung, die in der DE 41 37 124 AI (P 7255) beschrieben ist, sieht vor, die Sensor¬ bzw. Eingangssignale in zwei parallelen Microcontrollern zu verarbeiten, von denen jedoch nur einer die vollständige, aufwendige Signalverarbeitung ausführt. Der zweite Schalt¬ kreis dient vornehmlich zur Überwachung, weshalb die Ein¬ gangssignale nach Aufbereitung und Bildung von Ableitungen mit Hilfe vereinfachter Regelalgorithmen und vereinfachter Regelphilosophie weiterverarbeitet werden. Im Vergleich zu der zuvor genannten bekannten Schaltung wird durch die ver¬ einfachte Bearbeitung in dem Überwachungs-Microcontroller eine Aufwandverringerung erreicht.Another known circuit arrangement, which is described in DE 41 37 124 AI (P 7255), provides for processing the sensor or input signals in two parallel microcontrollers, of which only one, however, carries out the complete, complex signal processing. The second circuit is used primarily for monitoring, which is why the input signals after processing and formation of derivatives processed with the help of simplified control algorithms and simplified control philosophy. Compared to the known circuit mentioned above, the simplified processing in the monitoring microcontroller reduces the effort.
Grundsätzlich wäre es heutzutage auch möglich, mehrere kom¬ plette SchaltungsSysteme, z.B. zwei Microcomputer, auf einem einzigen Chip unterzubringen, beide mit den gleichen Ein¬ gangsinformationen zu versorgen und zur Überwachung der ord¬ nungsgemäßen Funktion die Datenverarbeitungsergebnisse der verschiedenen Schaltungssysteme miteinander zu vergleichen. Bei einem solchen Aufbau der elektronischen Schaltung läßt sich jedoch nicht mit ausreichend hoher Sicherheit ausschlie¬ ßen, daß aufgrund eines Schaltungsfehlers auch dann ein kor¬ rektes Überwachungssignal (Watchdog-Signal) entsteht, wenn die Datenverarbeitungsergebnisse beider Schaltungssysteme nicht übereinstimmen bzw. ein Schaltungssystem fehlerhaft ist.Basically, it would also be possible nowadays to use several complete circuit systems, e.g. to accommodate two microcomputers on a single chip, to supply both with the same input information and to compare the data processing results of the different circuit systems with one another in order to monitor the proper functioning. With such a construction of the electronic circuit, however, it cannot be ruled out with a sufficiently high degree of certainty that a correct monitoring signal (watchdog signal) also arises due to a circuit fault if the data processing results of the two circuit systems do not match or a circuit system is faulty .
Eine "Ein-Prozessor-Lösung" , also die Beschränkung auf eine einzige programmgesteuerte Schaltung mit einer Überwachungs¬ schaltung der herkömmlichen Art, läßt erst recht kein aus¬ reichend sicheres Erkennen von Fehlfunktionen erwarten.A "one-processor solution", that is to say the restriction to a single program-controlled circuit with a monitoring circuit of the conventional type, certainly does not allow a sufficiently reliable detection of malfunctions to be expected.
Ferner ist aus der DE 40 04 782 AI (P 6892) bereits ein ABS mit zwei Microcontrollern bekannt, die beide jeweils ein Überwachungssignal erzeugen, das ein Wechselsignal mit vor¬ gegebener Frequenz und vorgegebenem Verlauf darstellt. Ein Sicherheitsschaltkreis vergleicht die Wechselsignale mit ei¬ ner Zeitnormalen, die von einem Taktgeber abgeleitet ist, der von dem Arbeitstakt der Microcontroller unabhängig ist. Eine Veränderung des Wechselsignals führt, ebenso wie ein Ausfall der Zeitnormalen, zur Abschaltung der Blockierschutzregelung; fallen die Pulse aus dem vorgegebenen Zeitfenster, wird die Regelung abgeschaltet. Auch diese bekannte Schal¬ tungsanordnung beruht auf der Verwendung von zwei redundant arbeitenden Microcontrollern.Furthermore, an ABS with two microcontrollers is already known from DE 40 04 782 AI (P 6892), both of which generate a monitoring signal which represents an alternating signal with a predetermined frequency and a predetermined course. A safety circuit compares the alternating signals with a time normal, which is derived from a clock generator, which is independent of the microcontroller's operating cycle. A change in the alternating signal leads, as does a failure the time standards for switching off the anti-lock control; If the pulses fall outside the specified time window, the control is switched off. This known circuit arrangement is also based on the use of two redundant microcontrollers.
Der Erfindung liegt nun die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art zu entwickeln, das auch bei Be¬ schränkung auf eine einzige programmgesteuerte Schaltung in Verbindung mit einer Überwachungsschaltung eine Fehlfunktion mit hoher Sicherheit und Zuverlässigkeit erkennen läßt, so daß ein Fehlersignal erzeugt werden kann, welches das System in einen für die Sicherheit unkritischen Zustand umschaltet oder, z.B. die Regelung einer Bremsanlage abschaltet.The invention is based on the object of developing a method of the type mentioned at the outset which, even when limited to a single program-controlled circuit in conjunction with a monitoring circuit, can detect a malfunction with a high degree of reliability and reliability, so that an error signal can be generated , which switches the system into a non-critical state for security or, for example switches off the control of a brake system.
Es hat sich herausgestellt, daß diese Aufgabe mit dem im An¬ spruch 1 beschriebenen Verfahren gelöst werden kann. Das Be¬ sondere des erfindungsgemäßen Verfahrens besteht also darin, daß im Programmlauf der zu überwachenden Schaltung Datenworte erzeugt und zu vorgegebenen Zeitpunkten zu der Überwachungs¬ schaltung übertragen werden und daß mit Hilfe der Überwa¬ chungsschaltung der Inhalt der Datenworte sowie der Zeitpunkt des Auftretens der Datenworte mit Vorgaben, d.h. vorgegebe¬ nen Datenworten und vorgegebenem Zeitrahmen, verglichen wer¬ den.It has been found that this object can be achieved with the method described in claim 1. The particular feature of the method according to the invention is that data words are generated in the program run of the circuit to be monitored and transmitted to the monitoring circuit at predetermined times and that the content of the data words and the time of the occurrence of the data words occur with the aid of the monitoring circuit with specifications, ie predefined data words and predefined time frame are compared.
Nach einem besonders vorteilhaften Ausführungsbeispiel der Erfindung ergeben die im Programmlauf der zu überwachenden Schaltung erzeugten Datenworte eine vorgegebene Wortfolge, d.h. eine bestimmte Folge vorgegebener Worte, die mit Hilfe der ÜberwachungsSchaltung auf Übereinstimmung mit einer ent¬ sprechenden Vorgabe bzw. einer entsprechenden Wortfolge ver¬ glichen wird. Erfindungsgemäß wird also anstelle der Überwachung eines ein¬ fachen "Watchdog"-Signals, nämlich eines im Arbeitstakt er¬ zeugten Pulses, im Programmlauf bzw. Programmablauf ein de¬ finiertes Datenwort erzeugt, das inhaltlich und zeitlich mit einer Vorgabe übereinstimmen muß. Der Überwachungsschaltkreis überprüft nicht nur den Inhalt des im Programmlauf erzeugten Datenwortes, sondern auch den Zeitpunkt des Auftretens diesen Datenwortes. Es wird also sowohl das Zeitverhalten des Über¬ wachungssignals überprüft als auch durch Auswertung des Da¬ tenwortes oder Datenwortfolge eine weitergehende Beurteilung der Funktion des Microcontrollers bzw. der zu überwachenden Schaltung ermöglicht.According to a particularly advantageous embodiment of the invention, the data words generated in the program run of the circuit to be monitored result in a predetermined word sequence, that is to say a specific sequence of predetermined words, which is compared with the aid of the monitoring circuit for agreement with a corresponding specification or a corresponding word sequence . According to the invention, instead of monitoring a simple "watchdog" signal, namely a pulse generated in the work cycle, a defined data word is generated in the program run or program sequence, the content and time of which must correspond to a specification. The monitoring circuit not only checks the content of the data word generated during the program run, but also the time at which this data word occurs. The time behavior of the monitoring signal is thus checked and a further evaluation of the function of the microcontroller or of the circuit to be monitored is made possible by evaluating the data word or data word sequence.
Die vorgegebenen Wortfolgen werden dabei in der zu überwa¬ chenden Schaltung und in der Überwachungsschaltung zweckmäßi¬ gerweise nach unterschiedlichen Algorithmen gebildet.The predetermined word sequences are expediently formed in the circuit to be monitored and in the monitoring circuit using different algorithms.
Eine weitere vorteilhafte Ausführungsart der Erfindung be¬ steht darin, daß die Überwachungsschaltung die Datenworte, mit denen die in der zu überwachenden Schaltung gebildeten Datenworte verglichen werden, einem Speicher entnimmt.A further advantageous embodiment of the invention is that the monitoring circuit takes the data words with which the data words formed in the circuit to be monitored are compared from a memory.
In den Unteransprüchen sind noch weitere vorteilhafte Ausfüh¬ rungsarten des erfindungsgemäßen Verfahrens beschrieben.In the subclaims, further advantageous embodiments of the method according to the invention are described.
Eine Schaltungsanordnung zur Durchführung des Verfahrens nach der Erfindung umfaßt eine programmgesteuerte Schaltung sowie eine Überwachungsschaltung. Eine im Programmlauf oder -ablauf von der zu überwachenden Schaltung nach einem vorgegebenen Algorithmus erzeugte Datenwortfolge wird bei dieser Schaltung im Arbeitstakt zur Überwachungsschaltung übertragen, die ei¬ nen Vergleicher enthält, der die übertragene Datenwortfolge nach Inhalt und zeitlichem Auftreten auf Übereinstimmung mit einer vorgegebenen, z.B. abgespeicherten Datenwortfolge ver¬ gleicht und ein Fehlererkennungs- und Schaltsignal hervor¬ ruft, wenn die übertragene Datenwortfolge von der vorgegebene Folge abweicht. Eine solche Schaltungsanordnung ist z.B. für eine Bremsanlage mit elektronischer Regelung geeignet, bei der der zu überwachende Schaltkreis in Form eines Ein-Chip- Microcontrollers ausgebildet ist, der zur Auswertung der mit Hilfe von Radsensoren gemessenen Eingangssignale und zur Er¬ zeugung von Bremsdrucksteuersignalen dient.A circuit arrangement for carrying out the method according to the invention comprises a program-controlled circuit and a monitoring circuit. A data word sequence generated by the circuit to be monitored in the program run or sequence according to a predetermined algorithm is transmitted in this circuit in the work cycle to the monitoring circuit, which contains a comparator which matches the transmitted data word sequence in terms of content and occurrence over time compares a predefined, for example stored, data word sequence and produces an error detection and switching signal if the transmitted data word sequence deviates from the predefined sequence. Such a circuit arrangement is suitable, for example, for a brake system with electronic control, in which the circuit to be monitored is designed in the form of a one-chip microcontroller, which is used to evaluate the input signals measured with the aid of wheel sensors and to generate brake pressure control signals.
Weitere Details der Erfindung gehen aus der folgenden Be¬ schreibung eines Ausführungsbeispiels anhand der beigefügten Darstellungen hervor.Further details of the invention emerge from the following description of an exemplary embodiment with the aid of the attached illustrations.
Es zeigenShow it
Fig. 1 ein Flow-Chart zur Erläuterung der prinzipiellen Ar¬ beitsweise des erfindungsgemäßen Verfahrens und1 shows a flow chart to explain the principle of operation of the method according to the invention;
Fig. 2 in schematisch vereinfachter Darstellung ein Ausfüh¬ rungsbeispiel einer Schaltungsanordnung nach der Er¬ findung.2 shows a schematically simplified illustration of an exemplary embodiment of a circuit arrangement according to the invention.
In Fig. 1 sind links in Form eines Flow-Charts oder Programm¬ ablaufplans einige Operationen 2 bis 5 dargestellt, die hier zur Berechnung einer bestimmten Datenwortfolge dienen, die für das erfindungsgemäße Überwachungsverfahren benötigt wird. Die Operationen 2 bis 5 sind als Schritte eines Unterpro¬ gramms aufzufassen, die von der zu überwachenden programm¬ gesteuerten Schaltung jeweils über ein Startsignal "Reset" 1 ausgelöst werden. Nach einer Rechenoperation 2 auf Basis ei¬ nes Algorithmus A: wird in dem Schritt 3 ein Wort Wx gebildet und in dem Schritt 4 nach einer definierten Zeit : weiterge- leitet. Daran schließt sich im Schritt 5 eine Übertragung des Wortes j zum vorgegebenen Zeitpunkt zu einer Überwachungs- schaltung an. Die Wortübertragung ist durch einen Pfeil 6 symbolisiert. Das Unterprogramm mit den Schritten 2 bis 5 wird nun, da es sich um eine geschlossene Schleife handelt, wiederholt.1 shows a number of operations 2 to 5 in the form of a flow chart or program flowchart, which are used here to calculate a specific data word sequence which is required for the monitoring method according to the invention. Operations 2 to 5 are to be understood as steps of a subroutine, which are triggered by the program-controlled circuit to be monitored each time via a start signal "Reset" 1. After an arithmetic operation 2 based on an algorithm A : a word W x is formed in step 3 and after a defined time in step 4 : directs. This is followed in step 5 by a transmission of the word j to a monitoring circuit at the predetermined time. The word transmission is symbolized by an arrow 6. The subroutine with steps 2 to 5 is now repeated since it is a closed loop.
Die Überwachungsschaltung wird über ein "Reset" 7 gestartet. Nach dem Einschalten (8) wird in dem Schritt 9 eine Rechen¬ operation mit dem Algorithmus A2 durchgeführt, worauf (10) ein Datenwort W2 gebildet wird, das nach einer definierten Zeit T2 (11) in einer Operation 12 mit dem übertragenen Wort j ver¬ glichen wird. Stimmt das übertragene Wort j mit dem in der Überwachungsschaltung ermittelten Wort W2 überein und ist auch die Zeitbedingung Tα = T2 erfüllt, wird die Überwachungsproze¬ dur fortgesetzt werden. Werden dagegen im Schritt 12 und/oder im Schritt 13 Abweichungen festgestellt, hat dies - symboli¬ siert durch die Operation 14, ein Abschalten der Regelung zur Folge.The monitoring circuit is started via a "Reset" 7. After switching on (8), a computing operation is carried out in step 9 with the algorithm A 2 , whereupon (10) a data word W 2 is formed which, after a defined time T 2 (11), is carried out in an operation 12 with the transmitted one Word j is compared. If the transmitted word j matches the word W 2 determined in the monitoring circuit and the time condition T α = T 2 is also met, the monitoring procedure will be continued. If, on the other hand, deviations are found in step 12 and / or in step 13, this - symbolized by operation 14 - results in the control being switched off.
Die Startsignale "Reset" 1 und "Reset" 2 werden durch das gleiche Ereignis, beispielsweise durch Einschalten der Zün¬ dung eines Kraftfahrzeug-Motors ausgelöst. Bei geeignetem Algorithmus ist dann keine weitere Synchronisation der zu überwachenden Schaltung, die die Operationen 1 bis 5 aus¬ führt, mit der ÜberwachungsSchaltung 7 bis 14 erforderlich.The start signals "Reset" 1 and "Reset" 2 are triggered by the same event, for example by switching on the ignition of a motor vehicle engine. With a suitable algorithm, no further synchronization of the circuit to be monitored, which carries out operations 1 to 5, with the monitoring circuit 7 to 14 is then required.
In Fig. 2 ist die zu überwachende, programmgesteuerte Schal¬ tung, hier der Microcontroller eines ABS, mit 15 bezeichnet. Zu einer seriellen Schnittstelle 16 führen die Prozessoraus¬ gänge Sout (serial out), Sιn (serial in), SCK (clock) und CS (Chip select). Über diese serielle Schnittstelle 16 ist eine Überwachungsschaltung, die aus den im Anschluß an die Schnittstelle 16 rechts dargestellten Schaltungskomponenten besteht, angeschlossen.2, the program-controlled circuit to be monitored, here the microcontroller of an ABS, is designated by 15. The processor outputs S out (serial out), S in (serial in), SCK (clock) and CS (chip select) lead to a serial interface 16. About this serial interface 16 is a monitoring circuit, which from the following the Interface 16 circuit components shown on the right is connected.
Über einen Eingangsschalter oder "buffer" 17 werden die ein¬ zelnen Datenworte in ein serielles Schieberegister 18 über¬ tragen und aus diesem parallel über eine Vielfachleitung 19 zu einem Vergleicher 20 weitergeleitet. In dem Vergleicher 20 wird das über die Leitung 19 zugeführte, von der zu überwa¬ chenden Schaltung 15 ausgegebene Datenwort Wj mit einem Daten¬ wort W2, das einem tabellarischen Speicher 21 entnommen wird, auf Übereinstimmung verglichen. Der Speicher 21 ist über ei¬ nen Multiplexer 22 und eine Vielfach-Signalleitung 23 mit dem Vergleicher 20 verbunden. Ferner gehören zu der Überwachungs¬ schaltung ein Zähler oder Teiler 24, zwei UND-Gatter 25,26, ein Inverter 27, zwei Kippstufen 28,29 und schließlich ein ODER-Gatter mit negiertem Ausgang (NOR-Gatter), der zu einem nicht dargestellten Sicherheitsrelais führt. Bei einem Signal "1" am Ausgang des NOR-Gatters 30 fst ein Sicherheitsrelais eingeschaltet ("EIN"), weil die zu überwachende Schaltung und die PrüfSchaltung in Ordnung sind. Ein Signal -"0" am Ausgang des NOR-Gatters 30 führt zur Abschaltung der Regelung.The individual data words are transferred to a serial shift register 18 via an input switch or "buffer" 17 and are forwarded from this in parallel to a comparator 20 via a multiple line 19. In the comparator 20, the data word Wj supplied via the line 19 and output by the circuit 15 to be monitored is compared with a data word W 2 , which is taken from a tabular memory 21, for agreement. The memory 21 is connected to the comparator 20 via a multiplexer 22 and a multiple signal line 23. Furthermore, the monitoring circuit includes a counter or divider 24, two AND gates 25, 26, an inverter 27, two flip-flops 28, 29 and finally an OR gate with a negated output (NOR gate), which is not shown Safety relay leads. With a signal "1" at the output of NOR gate 30, a safety relay is switched on ("ON") because the circuit to be monitored and the test circuit are OK. A signal - "0" at the output of NOR gate 30 leads to the control being switched off.
Die Überwachungsschaltung nach Fig. 2 arbeitet wie folgt:2 operates as follows:
Nach einem Startsignal "POR" (power reset) an den reset-Ein- gängen der zu überwachenden Schaltung 15 und des Multiplexers 22 sowie am "POR"-Eingang des Zählers 24 herrscht folgende Situation:After a start signal "POR" (power reset) at the reset inputs of the circuit 15 to be monitored and the multiplexer 22 and at the "POR" input of the counter 24, the situation is as follows:
Signal "1" (EIN) am Ausgang des Gatters 30, der Zähler 24 ist zurückgesetzt, - der Multiplexer 22 steht auf "Wort 1" des Speichers 21. Ein Datenwort Yll ist zunächst nicht vorhanden. Folglich herrscht "0" am Ausgang des Vergleichers 20.Signal "1" (ON) at the output of the gate 30, the counter 24 is reset, - the multiplexer 22 is "word 1" of the memory 21. A data word Yl l is initially not present. consequently there is "0" at the output of the comparator 20.
Durch das "POR"-Signal wurden auch die Kippstufen 28 undThe flip-flops 28 and
29 zurückgesetzt.29 reset.
Der Arbeitstakt der zu überwachenden Schaltung und der Über¬ wachungsschaltung beträgt im folgenden Beispiel 10 ms.The operating cycle of the circuit to be monitored and the monitoring circuit is 10 ms in the following example.
Innerhalb der von dem Teiler 24 vorgegebenen Zeitspanne von 0 bis 9 ms muß am Ausgang des Vergleichers 20 das Signal "0" bleiben, da in dieser Zeitspanne das UND-Gatter 26 freigege¬ ben ist und ein Signal 1 am Ausgang des Vergleichers 20 die Kippstufe 28 setzen und damit über das ODER-Gatter 30 das Sicherheitsrelais ausschalten würde.Within the period of time specified by the divider 24 from 0 to 9 ms, the signal "0" must remain at the output of the comparator 20, since the AND gate 26 is released in this period and a signal 1 at the output of the comparator 20 is the flip-flop 28 set and would turn off the safety relay via the OR gate 30.
Innerhalb des Zeitraumes von 9 bis 10 ms muß nun die Bedin¬ gung Wα = W2 erfüllt werden, damit ein Ausgangssignal 1 am Ausgang des Vergleichers 20 entsteht. Folgendes geschieht:The condition W α = W 2 must now be met within the period of 9 to 10 ms so that an output signal 1 is produced at the output of the comparator 20. The following happens:
Über das ODER-Gatter 25 und den "Reset"-Eingang wird der Zähler 24 angesteuert und dadurch auf "0" zurückgesetzt. Der Multiplexer 22 übernimmt ein neues Datenwort aus dem Speicher 21.The counter 24 is driven via the OR gate 25 and the “reset” input and is thereby reset to “0”. The multiplexer 22 takes over a new data word from the memory 21.
Der Ausgang des Vergleichers 20 wird wieder "0". Die Kippstufe 28 wird über das UND-Gatter 26 wieder frei¬ gegeben. Der Zyklus beginnt von neuem.The output of the comparator 20 becomes "0" again. The flip-flop 28 is released again via the AND gate 26. The cycle starts again.
Wird die Bedingung j = W2 nicht erfüllt, so daß das Aus¬ gangssignal des Vergleichers 20 den Wert "0" behält, läuft der Zähler 24 über. Dies hat zur Folge, daß nach 10 ms die Kippstufe 29 gesetzt und dadurch über das ODER-Gatter 30 das Sicherheitsrelais Ausgeschaltet wird, symbolisiert durch das Ausgangssignal AUS in Fig. 2. Die Überwachungsschaltung nach Fig. 2 stellt ein besonders einfaches Ausführungsbeispiel dar. Natürlich gibt es noch andere Verknüpfungsmöglichkeiten.If the condition j = W 2 is not met, so that the output signal of the comparator 20 remains at "0", the counter 24 overflows. As a result, the flip-flop 29 is set after 10 ms and the safety relay is thereby switched off via the OR gate 30, symbolized by the output signal OFF in FIG. 2. The monitoring circuit according to FIG. 2 represents a particularly simple exemplary embodiment. Of course there are also other connection options.
Die aus bestimmten Datenworten bestehende Datenwortfolge kann auf sehr unterschiedliche Weise in der programmgesteuerten Schaltung 15, die überwacht werden soll, gebildet werden. Zweckmäßig ist es z.B., das Ergebnis der in regelmäßigen Ab¬ ständen in einer programmgesteuerten Schaltung der hier in Rede stehenden Art ablaufenden Prüfroutinen zur Bildung der Datenwortfolgen auszuwerten. Eine andere Möglichkeit besteht darin, aus einem Speicher, der zu der überwachenden Schaltung gehört, bestimmte Worte aufzurufen und diese Worte mit den Worten im Speicher 21 der PrüfSchaltung zu vergleichen.The data word sequence consisting of certain data words can be formed in very different ways in the program-controlled circuit 15 that is to be monitored. It is expedient, for example, to evaluate the result of the test routines which run at regular intervals in a program-controlled circuit of the type in question here to form the data word sequences. Another possibility is to call up certain words from a memory belonging to the monitoring circuit and to compare these words with the words in the memory 21 of the test circuit.
Erfindungsgemäß wird also auf sehr einfache Weise eine Über¬ wachung eines Microprozessors, Microcontrollers oder einer anderen-programmgesteuerten Schaltung erreicht. Die Ausgabe einer bestimmten Datenwortfolge erfordert keinen Mehraufwand. Die beschriebene Überwachungsschaltung läßt sich, wie das erläuterte Beispiel zeigt, mit wenigen Schaltkreisen verwirk¬ lichen. According to the invention, monitoring of a microprocessor, microcontroller or other program-controlled circuit is therefore achieved in a very simple manner. The output of a certain data word sequence requires no additional effort. The monitoring circuit described can, as the illustrated example shows, be realized with a few circuits.

Claims

Patentansprüche claims
1. Verfahren zur Überwachung der ordnungsgemäßen Funktion einer programmgesteuerten Schaltung, z.B. eines Micropro¬ zessors, Microcomputers, Microcontrollers oder dergl., bei dem im Arbeitstakt Datenverarbeitungs- ergebnisse mit un¬ abhängig von der zu überwachenden Schaltung und unabhängig vom Programmlauf in einer Überwachungsschaltung erzeugten Daten auf Übereinstimmung überprüft werden und bei dem beim Auftreten von Abweichungen, die auf eine Fehlfunktion hinweisen, ein Fehlersignal oder Abschaltsignal erzeugt wird, dadurch gekennzeichnet, daß im Programmlauf der zu überwachenden Schaltung (1 - 5; 15) Datenworte erzeugt und zu vorgegebenen Zeitpunkten zu der ÜberwachungsSchaltung (7 - 14; 17 -30) übertragen werden und daß mit Hilfe der ÜberwachungsSchaltung der Inhalt der Datenworte sowie der Zeitpunkt des Auftretens der Datenworte mit Vorgaben, d.h. vorgegebenen Datenworten und vorgegebenem Zeitrahmen, ver¬ glichen werden.1. Method for monitoring the proper functioning of a program controlled circuit, e.g. a microprocessor, microcomputer, microcontroller or the like, in which data processing results are checked for agreement in the work cycle with data generated independently of the circuit to be monitored and independently of the program run in a monitoring circuit, and in the event of deviations which occur indicate a malfunction, an error signal or shutdown signal is generated, characterized in that data words are generated in the program run of the circuit to be monitored (1-5; 15) and are transmitted to the monitoring circuit (7-14; 17-30) at predetermined times and that with the help of the monitoring circuit the content of the data words and the time of occurrence of the data words with specifications, ie predefined data words and predefined time frame are compared.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die im Programmlauf der zu überwachenden Schaltung (1 - 5; 15) erzeugten Datenworte eine vorgegebene Wortfolge, d.h. eine vorgegebene Folge von vorgegebenen Worten, ergeben, die mit Hilfe der Überwachungsschaltung (7 - 14; 17 - 30) auf Übereinstimmung mit einer entsprechenden Vorgabe vergli¬ chen wird.2. The method according to claim 1, characterized in that the data words generated in the program run of the circuit to be monitored (1-5; 15) a predetermined word sequence, i.e. result in a predetermined sequence of predetermined words, which is compared with the aid of the monitoring circuit (7-14; 17-30) for agreement with a corresponding specification.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die vorgegebenen Wortfolgen in der zu überwachenden Schaltung (1 - 5; 15) und in der Überwachungsschaltung (7 - 14; 17 - 30) nach unterschiedlichen Algorithmen gebildet werden.3. The method according to claim 2, characterized in that the Predefined word sequences are formed in the circuit to be monitored (1-5; 15) and in the monitoring circuit (7-14; 17-30) using different algorithms.
4. Verfahren nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Überwachungsschaltung4. The method according to one or more of claims 1 to 3, characterized in that the monitoring circuit
(7 - 14; 17 - 30) die Datenworte, mit denen die in der zu überwachenden Schaltung (1 - 5; 15) gebildeten Datenworte verglichen werden, einem Speicher (21) entnimmt.(7-14; 17-30) takes the data words with which the data words formed in the circuit to be monitored (1-5; 15) are compared from a memory (21).
5. Verfahren nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß die Überwachungsschaltung5. The method according to one or more of claims 1 to 4, characterized in that the monitoring circuit
(7 - 14; 17 - 30) die Zeitspannen zwischen zwei auf¬ einanderfolgenden Datenworten mit vorgegebenen Zeitspannen auf Übereinstimmung vergleicht.(7-14; 17-30) compares the time spans between two successive data words with predetermined time spans for agreement.
6. Verfahren nach einem oder mehreren der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß das Erzeugen der vorgegebenen Wortfolge innerhalb der zu überwachenden Schaltung6. The method according to one or more of claims 1 to 5, characterized in that the generation of the predetermined word sequence within the circuit to be monitored
(1 - 5; 15) und innerhalb der Überwachungsschaltung (7 - 14; 17 - 30)m durch regelmäßig wiederkehrende Ereig¬ nisse, z.B. durch Einschalten der Zündung eines Kfz-Mo- tors, gestartet wird.(1 - 5; 15) and within the monitoring circuit (7 - 14; 17 - 30) m through regularly recurring events, e.g. by switching on the ignition of a motor vehicle.
7. Schaltungsanordnung zur Durchführung des Verfahrens nach einem oder mehreren der Ansprüche 1 bis 6, dadurch gekenn¬ zeichnet, daß diese eine programmgesteuerte Schaltung (1 - 5; 15) sowie eine Schaltung (7 - 14; 17 - 30) zur Überwa¬ chung der ordnungsgemäßen Funktion der programmgesteuerten Schaltung (1 - 5; 15) umfaßt und daß eine Datenwortfolge (W ), die im Programmlauf von der zu überwachenden Schal¬ tung (1 - 5; 15) nach einem vorgegebenen Algorithmus (A^) erzeugt wird, im Arbeitstakt der zu überwachenden Schal- tung zur Überwachungsschaltung (7 - 14; 17 -30) übertragen wird, daß die Überwachungsschaltung(7 -14; 17 - 30) einen Ver¬ gleicher (20) enthält, der die übertragene Datenwortfolge (Wj) nach Inhalt und zeitlichem Auftreten auf Übereinstim¬ mung mit einer vorgegebenen Datenwortfolge (W2) ver¬ gleicht, und daß die Überwachungsschaltung (7 - 14; 17 - 30), wenn die übertragene Datenwortfolge (W:) von der vorgegebenen Folge (W2) abweicht, ein Fehlererkennungs- und Abschaltsignal hervorruft.7. Circuit arrangement for performing the method according to one or more of claims 1 to 6, characterized gekenn¬ characterized in that it has a program-controlled circuit (1 - 5; 15) and a circuit (7 - 14; 17 - 30) for monitoring the proper functioning of the program-controlled circuit (1-5; 15) and that a data word sequence (W) which is generated during the program run by the circuit (1-5; 15) to be monitored according to a predetermined algorithm (A ^), in the work cycle of the formwork to be monitored direction to the monitoring circuit (7-14; 17-30) is transmitted, that the monitoring circuit (7-14; 17-30) contains a comparator (20) which matches the transmitted data word sequence (Wj) according to content and occurrence ¬ comparison with a predetermined data word sequence (W 2 ), and that the monitoring circuit (7 - 14; 17 - 30), if the transmitted data word sequence (W :) deviates from the predetermined sequence (W 2 ), an error detection and Shutdown signal causes.
8. Schaltungsanordnung nach Anspruch 7, dadurch gekennzeich¬ net, daß diese für eine Bremsanlage mit elektronischer Regelung, z.B. ABS, ASR, FSR, vorgesehen ist und daß die zu überwachende Schaltung (1 - 5; 15) in Form eines Ein¬ Chip-Microcontrollers ausgebildet ist, der zur Auswertung von mit Hilfe von Radsensoren gewonnenen Eingangssignalen und zur Erzeugung von Bremsdrucksteuersignalen dient. 8. Circuit arrangement according to claim 7, characterized gekennzeich¬ net that this for a brake system with electronic control, e.g. ABS, ASR, FSR, is provided and that the circuit to be monitored (1-5; 15) is designed in the form of a single-chip microcontroller which is used to evaluate input signals obtained with the aid of wheel sensors and to generate brake pressure control signals.
PCT/EP1995/004901 1994-12-23 1995-12-12 Process and circuit for monitoring the functioning of a program-controlled circuit WO1996020103A1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP95942125A EP0799143B1 (en) 1994-12-23 1995-12-12 Process and circuit for monitoring the functioning of a program-controlled circuit
DE59503815T DE59503815D1 (en) 1994-12-23 1995-12-12 METHOD AND CIRCUIT ARRANGEMENT FOR MONITORING THE FUNCTION OF A PROGRAM-CONTROLLED CIRCUIT
JP8520154A JPH10513286A (en) 1994-12-23 1995-12-12 Processing and circuit configuration for monitoring function of program control circuit
US08/860,411 US6012156A (en) 1994-12-23 1995-12-12 Process and circuit arrangement for monitoring the function of a program-controlled circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DEP4446314.6 1994-12-23
DE4446314A DE4446314A1 (en) 1994-12-23 1994-12-23 Method and circuit arrangement for monitoring the function of a program-controlled circuit

Publications (1)

Publication Number Publication Date
WO1996020103A1 true WO1996020103A1 (en) 1996-07-04

Family

ID=6536927

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1995/004901 WO1996020103A1 (en) 1994-12-23 1995-12-12 Process and circuit for monitoring the functioning of a program-controlled circuit

Country Status (5)

Country Link
US (1) US6012156A (en)
EP (1) EP0799143B1 (en)
JP (1) JPH10513286A (en)
DE (2) DE4446314A1 (en)
WO (1) WO1996020103A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6012156A (en) * 1994-12-23 2000-01-04 Itt Manufacturing Enterprises Inc. Process and circuit arrangement for monitoring the function of a program-controlled circuit
DE10049440A1 (en) * 2000-10-06 2002-04-11 Daimler Chrysler Ag Watchdog unit resetting method for e.g. vehicle applications, involves calculating trigger value which is used for resetting unit
DE10233879B4 (en) * 2002-07-25 2006-07-13 Siemens Ag Method for controlling and monitoring a safety-critical system, in particular a traffic signal system, and device for carrying out the method

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6269671B1 (en) * 1998-09-16 2001-08-07 Alusuisse Technology & Management Ltd. Process for manufacturing shaped packaging
JP3636031B2 (en) * 2000-04-28 2005-04-06 株式会社デンソー Microcomputer monitoring method in electronic control unit
DE10049441B4 (en) * 2000-10-06 2008-07-10 Conti Temic Microelectronic Gmbh Method of operating a system controlled by a processor
DE10148157B4 (en) 2001-09-28 2006-05-18 Infineon Technologies Ag Program controlled unit
JP2003150408A (en) * 2001-11-15 2003-05-23 Sumitomo Denko Brake Systems Kk Monitoring method for microcomputer for on-vehicle controller and circuit thereof
DE10243789B4 (en) * 2002-09-20 2005-01-20 Siemens Ag Method and circuit arrangement for monitoring the function of a processor
JP2004259137A (en) * 2003-02-27 2004-09-16 Denso Corp Electronic control device
US7269288B2 (en) * 2003-07-30 2007-09-11 Mediatek Inc. Apparatus for parallel calculation of prediction bits in a spatially predicted coded block pattern and method thereof
CN1922581A (en) * 2004-02-20 2007-02-28 大陆-特韦斯贸易合伙股份公司及两合公司 Method and integrated switching circuit for increasing the immunity to interference
US8041529B2 (en) * 2007-02-09 2011-10-18 Robert Bosch Gmbh Changing parameters in a tested system using virtual working pages
DE102007015937A1 (en) 2007-04-02 2008-10-09 Continental Teves Ag & Co. Ohg Monitoring method for examining circuits, and for error recognition of microprocessors in controllers of motor vehicle, involves monitoring with multiple electrical load that is supplied by common or multiple voltage supply
JP4408921B2 (en) * 2007-08-22 2010-02-03 株式会社デンソー Electronics
DE102010032993B3 (en) * 2010-07-31 2011-12-08 Audi Ag Method for operating a bus control device and bus control device
CN114706799B (en) * 2022-03-30 2024-06-04 江苏肯立科技股份有限公司 Low-delay monitoring device and method for 256×256 switching matrix

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2175717A (en) * 1985-05-21 1986-12-03 Teves Gmbh Alfred Suppressing short-time interference
FR2606897A1 (en) * 1986-11-14 1988-05-20 Bosch Gmbh Robert METHOD AND DEVICE FOR MONITORING ADJUSTING DEVICES CONTROLLED BY A COMPUTER, SUCH AS ANTI-LOCKING SYSTEMS, AIR BAGS OR BELT TENSIONERS OR THE LIKE
US4817418A (en) * 1985-05-15 1989-04-04 Toyota Jidosha Kabushiki Kaisha Failure diagnosis system for vehicle
EP0496509A1 (en) * 1991-01-19 1992-07-29 Lucas Industries Public Limited Company Control system
EP0525574A2 (en) * 1991-07-27 1993-02-03 Robert Bosch Gmbh System for controlling failsafe-systems

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3008036A1 (en) * 1980-03-03 1981-09-17 Robert Bosch Gmbh, 7000 Stuttgart Control monitor for microcomputer systems - has subroutine code words that are compared with check values to identify errors
DE3206891A1 (en) * 1982-02-26 1983-09-15 Robert Bosch Gmbh, 7000 Stuttgart METHOD FOR ERROR DIAGNOSIS FOR PROGRAMMABLE CONTROLLERS
DE3225455C2 (en) * 1982-07-07 1986-07-17 Siemens AG, 1000 Berlin und 8000 München Method for the safe operation of a redundant control system
DE3234637A1 (en) * 1982-09-18 1984-03-22 Alfred Teves Gmbh, 6000 Frankfurt METHOD AND CIRCUIT FOR CONTROLLING A BRAKE-SLIP CONTROL SYSTEM
DE3502387A1 (en) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Method for monitoring microprocessor systems and stored-program controls
JPS6348477A (en) * 1986-08-18 1988-03-01 Mitsubishi Electric Corp Fault diagnosing system for electronic equipment for automobile
JPS6377244A (en) * 1986-09-19 1988-04-07 Nippon Denso Co Ltd Communication control equipment
DE3704318C2 (en) * 1987-02-12 1996-04-11 Vdo Schindling Arrangements for monitoring the function of a microprocessor
GB2241123B (en) * 1990-02-16 1993-09-29 Teves Gmbh Alfred Circuit arrangement for an anti-lock-controlled vehicle brake system
DE4106704C5 (en) * 1991-03-02 2009-12-17 Wabco Gmbh Device and method for error detection and display
US5458404A (en) * 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
US5550762A (en) * 1993-12-20 1996-08-27 Doll; John A. Diagnostic system for electronic automotive system
DE4446314A1 (en) * 1994-12-23 1996-06-27 Teves Gmbh Alfred Method and circuit arrangement for monitoring the function of a program-controlled circuit
US5740183A (en) * 1996-12-05 1998-04-14 Advanced Micro Devices, Inc. Method and apparatus for the operational verification of a microprocessor in the presence of interrupts

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4817418A (en) * 1985-05-15 1989-04-04 Toyota Jidosha Kabushiki Kaisha Failure diagnosis system for vehicle
GB2175717A (en) * 1985-05-21 1986-12-03 Teves Gmbh Alfred Suppressing short-time interference
FR2606897A1 (en) * 1986-11-14 1988-05-20 Bosch Gmbh Robert METHOD AND DEVICE FOR MONITORING ADJUSTING DEVICES CONTROLLED BY A COMPUTER, SUCH AS ANTI-LOCKING SYSTEMS, AIR BAGS OR BELT TENSIONERS OR THE LIKE
EP0496509A1 (en) * 1991-01-19 1992-07-29 Lucas Industries Public Limited Company Control system
EP0525574A2 (en) * 1991-07-27 1993-02-03 Robert Bosch Gmbh System for controlling failsafe-systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6012156A (en) * 1994-12-23 2000-01-04 Itt Manufacturing Enterprises Inc. Process and circuit arrangement for monitoring the function of a program-controlled circuit
DE10049440A1 (en) * 2000-10-06 2002-04-11 Daimler Chrysler Ag Watchdog unit resetting method for e.g. vehicle applications, involves calculating trigger value which is used for resetting unit
DE10233879B4 (en) * 2002-07-25 2006-07-13 Siemens Ag Method for controlling and monitoring a safety-critical system, in particular a traffic signal system, and device for carrying out the method

Also Published As

Publication number Publication date
EP0799143A1 (en) 1997-10-08
JPH10513286A (en) 1998-12-15
DE4446314A1 (en) 1996-06-27
US6012156A (en) 2000-01-04
DE59503815D1 (en) 1998-11-05
EP0799143B1 (en) 1998-09-30

Similar Documents

Publication Publication Date Title
WO1996020103A1 (en) Process and circuit for monitoring the functioning of a program-controlled circuit
EP0479792B1 (en) Vehicle-occupant safety system
EP0512240B1 (en) System for the control of motor vehicles
EP1323039B1 (en) Method for operating a processor-controlled system
DE102005055428B4 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
DE2946081A1 (en) ARRANGEMENT FOR MONITORING THE FUNCTION OF A PROGRAMMABLE ELECTRONIC CIRCUIT
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
EP0712360B1 (en) Circuitry for regulating braking systems with an antilocking system and/or a drive slip control
DE2258917B2 (en) CONTROL DEVICE WITH AT LEAST TWO PARALLEL SIGNAL CHANNELS
DE19500188B4 (en) Circuit arrangement for a brake system
CH654425A5 (en) Redundant control arrangement
EP2099667A1 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
DE19847986C2 (en) Single processor system
EP1807760B1 (en) Data processing system with a variable clock speed
DE3926377C2 (en) Electronic control device for an internal combustion engine
DE19828057A1 (en) Unit monitoring continuous voltage supply to SRAM in vehicle controller
EP0815511B1 (en) Method and device for monitoring an electronic computing unit
DE10312553B3 (en) Automobile with several control devices switched between active and inactive conditions and central monitoring control device providing watch-dog function
DE10007008B4 (en) Method for monitoring a data processing device
DE102006051909A1 (en) Electronic motor vehicle control device for use in e.g. electrical brake system, has additional control circuit provided for restarting microprocessor, when error occurs in device, where error results in failure of microprocessor
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
WO1996030775A1 (en) Process and circuit for monitoring a data processing circuit
EP1561165B1 (en) Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit
CH668872A5 (en) PROXIMITY SWITCH.
DE10002519C1 (en) Error prevention method for signal processing system e.g. in automobile

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 1995942125

Country of ref document: EP

ENP Entry into the national phase

Ref country code: JP

Ref document number: 1996 520154

Kind code of ref document: A

Format of ref document f/p: F

WWE Wipo information: entry into national phase

Ref document number: 08860411

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 1995942125

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 1995942125

Country of ref document: EP